Visão geral do gerenciamento de permissões de acesso aos seus recursos do AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visão geral do gerenciamento de permissões de acesso aos seus recursos do AWS Control Tower

Cada AWS recurso é de propriedade de um Conta da AWS, e as permissões para criar ou obter acesso a um recurso são regidas por políticas de permissões. Um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções). Alguns serviços (como AWS Lambda) também oferecem suporte à anexação de políticas de permissões aos recursos.

nota

Um administrador da conta (ou administrador) é um usuário com privilégios de administrador. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

Quando você é responsável por conceder permissões a um usuário ou função, deve conhecer e monitorar os usuários e funções que exigem permissões, os recursos para os quais cada usuário e função exigem permissões e as ações específicas que devem ser permitidas para operar esses recursos.

Recursos e operações do AWS Control Tower

No AWS Control Tower, o recurso principal é uma landing zone. O AWS Control Tower também oferece suporte a um tipo de recurso adicional, os controles, às vezes chamados de grades de proteção. No entanto, para o AWS Control Tower, você pode gerenciar controles somente no contexto de uma landing zone existente. Os controles podem ser chamados de sub-recursos.

Os recursos e sub-recursos em AWS têm nomes de recursos da Amazon (ARNs) exclusivos associados a eles, conforme mostrado no exemplo a seguir.

Tipo de recurso Formato do ARN
Sistema de arquivos arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

O AWS Control Tower fornece um conjunto de operações de API para trabalhar com os recursos do AWS Control Tower. Para obter uma lista das operações disponíveis, consulte AWS Control Tower, a referência da API do AWS Control Tower.

Para obter mais informações sobre os AWS CloudFormation recursos no AWS Control Tower, consulte o Guia AWS CloudFormation do usuário.

Sobre a propriedade de recursos

A AWS conta é proprietária dos recursos criados na conta, independentemente de quem criou os recursos. Especificamente, o proprietário do recurso é a AWS conta da entidade principal (ou seja, o usuário Conta da AWS raiz, um usuário do IAM Identity Center, um usuário do IAM ou uma função do IAM) que autentica a solicitação de criação do recurso. Os seguintes exemplos mostram como isso funciona:

  • Se você usar as AWS credenciais de usuário raiz da sua AWS conta para configurar uma landing zone, sua AWS conta é a proprietária do recurso.

  • Se você criar um usuário do IAM em sua AWS conta e conceder permissões para configurar uma landing zone para esse usuário, o usuário poderá configurar uma landing zone, desde que a conta atenda aos pré-requisitos. No entanto, sua AWS conta, à qual o usuário pertence, é proprietária do recurso landing zone.

  • Se você criar uma função do IAM em sua AWS conta com permissões para configurar uma landing zone, qualquer pessoa que possa assumir a função poderá configurar uma landing zone. Sua AWS conta, à qual a função pertence, é proprietária do recurso landing zone.

Especifique os elementos da política: ações, efeitos e princípios

Você pode configurar e gerenciar sua zona de pouso por meio do console do AWS Control Tower ou das APIs da zona de pouso. Para configurar sua landing zone, você precisa ser um usuário do IAM com permissões administrativas, conforme definido em uma política do IAM.

Os elementos a seguir são os mais básicos que você pode identificar em uma política:

  • Recurso: em uma política, você usa um nome do recurso da Amazon (ARN) para identificar o recurso a que a política se aplica. Para ter mais informações, consulte Recursos e operações do AWS Control Tower.

  • Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Para obter informações sobre os tipos de ações disponíveis para serem executadas, consulte Ações definidas pelo AWS Control Tower.

  • Efeito: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.

  • Principal — Nas políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política está vinculada é o principal implícito. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos). O AWS Control Tower não oferece suporte a políticas baseadas em recursos.

Para saber mais sobre a sintaxe e as descrições da política do IAM, consulte a Referência de política doAWS IAM no Guia do usuário do IAM.

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar as condições de quando uma política deverá entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte Condition no Guia do usuário do IAM.

Para expressar condições, você pode usar chaves de condição predefinidas. Não há chaves de condição específicas para o AWS Control Tower. No entanto, existem chaves AWSde condição abrangentes que você pode usar conforme apropriado. Para obter uma lista completa AWSde chaves abrangentes, consulte Chaves disponíveis para condições no Guia do usuário do IAM.